|
|
关于识别越狱设备
越狱设备为用户提供了额外的功能,这使得设备对企业使用不安全。因此,必须从这些设备中删除公司数据。MDM在登记和每次扫描时识别越狱设备。检测到越狱设备后,登记失败或设备被从管理中移除(如果之前管理过该设备)。
ManageEngine MDM应用需要检测越狱设备、分发文档、远程查看设备屏幕和跟踪被管理设备的位置。默认开启“将ME MDM应用分发到被管iOS设备”选项,确保所有被管iOS设备上都安装了ManageEngine MDM应用。如果需要,您还可以配置邮件模板来分发应用程序。此外,还可以使用ManageEngine MDM应用程序保护电子邮件附件的安全,请参阅 这里。
注意:如果用户还没有登录到设备上的iTunes帐户,那么ManageEngine MDM应用程序将在应用程序目录中可用。用户应该输入他们的iTunes凭证来完成应用程序的安装。安装ManageEngine MDM应用后,应用目录将从设备中移除。
当需要管理安卓设备时,需要配置MDM应用。该应用程序安装在所有受管理的安卓设备中。您可以自定义以下内容:
管理员可以使用以下设置,以确保如果设备被破坏,企业数据从设备中删除。在登记期间和每次扫描期间都要检查设备,如果发现设备不符合下面选择的选项,则将解除设备,并从设备中删除数据。如果在登记过程中检查设备,将导致设备登记失败。
已Root设备为用户提供了额外的控制,如删除由MDM分发的配置文件或从MDM中删除设备。因此,对于组织来说,允许已Root设备访问公司数据是不安全的,因为这可能导致数据泄露。MDM 识别已Root设备 选择此选项后,将这些设备从管理中删除。从管理中移除设备也会从设备中移除企业数据。
安卓的基本完整性检查监控设备是否已Root、虚拟设备或包含一个虚拟ROM,如果以上任何一个条件为真,设备的基本完整性检查失败。在登记过程中,如果设备基本完整性检查不合格,设备将不被登记。如果登记的设备没有通过基本完整性检查,该设备将从管理中移除,数据将从设备中移除。
谷歌基于其 兼容性测试套件 对设备进行认证,其中包含了谷歌对企业设备认证的基本要求。如果选择此选项,设备将登记只有他们通过谷歌认证。这里 是谷歌认证设备的详尽列表。
注意:谷歌认证还检查设备的基本完整性。但是,当选择基本完整性检查时,设备可能通过基本完整性检查,但不能通过谷歌认证。
每次您将带有一些策略和限制的配置文件分发到某些设备时,终端用户都会被通知接受该策略。这可以通过指定最终用户接受策略的时间限制来自定义。如果该策略没有在指定的时间内安装,则该策略将被移动到“违反策略”。如果用户接受该策略,则将其移动到实施的策略。 如果 密码 策略已下发到设备,且在指定的时间内未按照配置的策略设置密码,则设备中除ME MDM应用、设置和启动器应用外的所有应用都将被禁用。用户设置密码后,禁用的应用程序将被启用。这是为了在违反公司策略时保护公司数据。
您可以自定义ME MDM应用程序设置,如允许用户删除应用程序,对管理设备隐藏应用程序,等等。
如果用户从设备中删除了ME MDM应用程序,该设备将成为非被管设备,即IT管理员不能再管理用户的设备,因为设备管理必须使用ME MDM应用程序。如果您仍然希望允许用户删除MDM应用程序,您也可以配置一个告警,当用户试图删除MDM应用程序时,将显示该告警。不适用于配置为配置文件所有者(工作配置文件)的设备。
|
您可以限制用户删除ME MDM应用程序。支持运行5.0或更高版本的安卓设备,设备应该配置为设备所有者。对于通过DEP登记的设备,可以限制用户删除ME MDM应用程序,请参阅 这里。 |
您可以选择在被管设备中隐藏ME MDM应用。在这种情况下,用户无法打开ME MDM应用,访问应用内部的应用目录,也就无法下载通过应用目录分发的应用。
通常情况下,当设备未被管理时,用户可以手动删除设备中存在的ME MDM应用程序。包括所有的配置文件和应用程序数据被自动删除。但在某些情况下,如果您从设备管理中删除了一个设备,当设备上隐藏了ME MDM应用程序时,由于服务器连接问题,该应用程序不会从设备中删除。为了避免这些问题,可以参考以下几点:
现在,使用 “撤销管理”密码 禁用ME MDM应用的设备管理员权限然后删除。
按照以下步骤设置“撤销管理”密码:
“撤销管理”密码可用于以下场景:
要在设备上输入“撤销管理”密码,首先单击ME MDM应用图标,然后在可以看到应用程序名称的顶部窗格中单击4次。出现密码提示对话框,可以输入密码。
默认情况下,“撤销管理”密码已经设置,可以点击 
图标查看。
如果您希望将您的企业logo作为ME MDM应用的图标,或者将ME MDM应用重命名,则可以使用该功能。MDM应用可以换标、可以重命名应用的显示名、可以修改应用图标,甚至可以定制启动屏幕图像。按照以下步骤重新命名ME MDM应用:
现在您可以看到ME MDM应用已根据您的选择重命名。
您可以选择以下通信方式之一,以便在MDM服务器和被管移动设备之间进行有效通信。
即时方式
当服务器-设备通信有不间断的互联网访问时,您可以选择这种通信方式。MDM服务器和被管移动设备之间的所有通信都将通过Firebase Cloud Messaging(FCM)立即进行。
在选择即时方式时,您应该选择 Google Play
Store 或 MDM服务器 下载 ME MDM应用 用于设备登记。
|
|
周期方式是即时方式的另一种选择,当您的组织内部公共互联网访问有限或无法访问谷歌应用程序或服务时,它是MDM服务器和移动设备之间通信的首选方式。在这种方式下,被管理的移动设备每60分钟与MDM服务器通信一次,因此不可能立即执行远程锁定、彻底清除等按需操作。
选择此选项后,用于设备登记的ME MDM应用,默认只能从 MDM服务器 下载。
|
|
作为登记的一部分,每个设备都需要下载ME MDM应用。ME MDM应用可以从Google Play Store或MDM服务器下载。您可以选择配置应该从中进行下载的方式。您可以通过以下步骤进行配置:
|
如果选择周期方式,则必须确保服务器可访问端口8020/9020,以便用户启动下载。 |
您已成功配置了ME MDM应用的下载方式。
当用户不再需要该设备或离职时,有必要从移动设备中删除企业的所有详细信息。启用该选项后,用户可以在设备上删除MDM工作空间账户。
如果允许用户从设备中删除MDM工作空间账户,则删除该账户后,设备将不受管理。因此,建议禁用此选项。
您可以选择以下通信方式之一,以便在MDM服务器和被管移动设备之间进行有效通信。
即时
当服务器-设备通信有不间断的互联网访问时,您可以选择这种通信方式。MDM服务器和被管移动设备之间的所有通信都将通过Windows Notification Service(WNS)立即进行。
周期方式是即时方式的另一种选择,并且是MDM服务器和移动设备之间通信的首选方式,如果您的组织内部公共互联网访问有限制,或者该组织具有严格的安全标准。在这种方式下,被管移动设备每60分钟与MDM服务器通信一次,因此不可能立即执行远程锁定、彻底清除等按需操作。
|
|
如果允许用户从设备中删除MDM工作空间账户,则删除该账户后,设备将不受管理。因此,建议禁用此选项。
|
|
